Im Katalog suchen

Linux - Wegweiser für Netzwerker

Online-Version

Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG

Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.

Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.
vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel


Allgemeine Sicherheitsaspekte

Ein fehlerhaft konfigurierter PPP-Dämon kann eine vernichtende Sicherheitslücke sein. Im schlimmsten Fall kann es so sein, als ob sich jeder direkt an Ihr Ethernet anschließen könnte (und das ist sehr schlecht). In diesem Abschnitt wollen wir einige Maßnahmen erläutern, die Ihre PPP-Konfiguration sicher machen sollen.

Hinweis

Ein Problem mit pppd ist, daß es zur Konfiguration des Netz-Interfaces und der Routing-Tabelle root-Privilegien benötigt. Üblicherweise lösen Sie dieses Problem, indem Sie pppd mit Setuid root ausführen. Jedoch ermöglicht es pppd dem Benutzer, verschiedene sicherheitsrelevante Optionen zu setzen.

Um sich vor Angriffen zu schützen, die ein Benutzer durch Manipulation von pppd-Optionen starten könnte, wird empfohlen, eine Reihe von Voreinstellungen in der globalen Datei /etc/ppp/options einzutragen. Ein Beispiel dafür finden Sie im Abschnitt Arbeiten mit Optionsdateien in diesem Kapitel. Einige dieser Optionen, wie die zur Authentifizierung, können dann vom Benutzer nicht überschrieben werden, was eine vernünftige Sicherung gegen Manipulationen darstellt. Eine wichtige Schutzoption ist connect. Wann immer Sie beabsichtigen, Nicht-Root-Benutzern die Ausführung von pppd zu gestatten, um eine Internetverbindung zu etablieren, sollten Sie immer die Optionen connect und noauth in der globalen Datei /etc/ppp/options eintragen. Wenn Sie das nicht machen, können die Anwender beliebige Befehle mit root-Privilegien ausführen, indem sie sie als connect-Befehl in der pppd-Zeile oder in ihrer persönlichen Optionsdatei angeben.

Eine weitere gute Idee ist es, den Kreis der Benutzer, die pppd ausführen dürfen, einzuschränken. Dazu erzeugen Sie in /etc/group eine neue Gruppe und tragen darin nur diejenigen Benutzer ein, denen Sie die Ausführung des PPP-Dämons gestatten wollen. Sie sollten dann die Eigentumsrechte des pppd-Dämons auf diese Gruppe einstellen und die Ausführungsrechte für die ganze Welt entfernen. Angenommen, Ihre Gruppe heißt dialout. Dann können Sie wie folgt vorgehen: 

# chown root /usr/sbin/pppd # chgrp dialout /usr/sbin/pppd # chmod 4750 /usr/sbin/pppd

Natürlich müssen Sie sich auch selbst vor den Systemen schützen, mit denen Sie über PPP kommunizieren. Um zu verhindern, daß sich Hosts als jemand anderes ausgeben, sollten Sie immer irgendeine Form der Authentifizierung von der Gegenseite verlangen. Darüber hinaus sollten Sie es fremden Hosts nicht erlauben, eine beliebige, von ihnen gewählte IP-Adresse zu verwenden, sondern sie auf ein paar wenige einschränken. Der folgende Abschnitt befaßt sich ausführlich mit diesen Themen.



vorheriges Kapitel Inhaltsverzeichnis Stichwortverzeichnis nächstes Kapitel

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center

O'Reilly Home|O'Reilly-Partnerbuchhandlungen|Bestellinformationen
Kontakt|Über O'Reilly|Datenschutz

© 2001, O'Reilly Verlag